موافقت‌نامه‌ی امنیتی کمیسیون تجارت فدرال آمریکا و ایسوز بر سر امنیت مسیریاب‌های این شرکت

کمیسیون تجارت فدرال ایالات متحده‌ی آمریکا اعلام کرد که از توافق با شرکت AsusTek در مورد تنظیمات امنیتی درهم و پیچیده‌ای در مسیریاب‌های این شرکت خبر دارد که موجب شده بود، داده‌های شخصی ۱۲۹۰۰ نفر در دسترسی عموم قرار گیرد.
این شرکت تایوانی موافقت کرد تا مدت ۲۰ سال ممیزی‌های مالیاتی را انجام دهد، البته به همراه جریمه‌ای معادل ۱۶۰۰۰ دلار برای هر حادثه که در مجموع جریمه‌ای بالغ بر ۲۰۶ میلیون دلار را برای این شرکت در بر خواهد داشت.
موافقت‌نامه‌ی FTC در پی یک ناکامی امنیتی بزرگ ایسوس در سال ۲۰۱۴ شکل گرفته است، و آن زمانی بود که حفظ امنیت مشتریان ایسوس با تغییر تنظیمات امنیتی انجام شده در مسیریاب‌ها کافی نبود و موجب می‌شد که اطلاعات ذخیره‌شده در درایوهای یواس‌بی که به مسیریاب‌ها متصل بودند، در معرض دید عموم قرار گیرند. این لغزش امنیتی توسط کمیسیون FTC به عنوان اشتباهی فاحش در نظر گرفته شد، زیرا در آن زمان ایسوس ادعا می‌کرد که مسیریاب‌های این شرکت دارای امنیت است.
تبلیغات بازاریابی ایسوس با افتخار اعلام می‌کرد که مسیریاب‌های این شرکت رایانه‌ها را از دسترسی‌های غیرمجاز و نفوذ و حملات بدافزاری، مصون نگه می‌دارد و شبکه‌ی محلی را در برابر نفوذ‌ مهاجمان حفظ می‌کند.
دستور پیشنهادی FTC به شرکت ایسوس مستلزم این است که این شرکت به ایجاد و حفظ یک برنامه‌ی جامع امنیت تحت نظارت منابع مستقل به مدت ۲۰ سال بپردازد. براساس ادعای FTC که گفته است نفوذگران از خوانایی موجود در ابزارهای مربوط به مسیریاب‌های آسیب‌پذیر ایسوس استفاده کرد و با استفاده از این حفره‌های امنیتی موفق شدند به اطلاعات بیش از ۱۲۹۰۰ نفر از مشتریان این شرکت که در دستگاه‌های یواس‌بی متصل به این مسیریاب‌ها قرار داشت، دسترسی پیدا کنند.
ایسوس باید جریمه‌ای معادل ۱۶۰۰۰ دلار برای هر کدام از این افراد بپردازد که جمعاً مبلغی بالغ بر ۲۰۶۴۰۰۰۰۰ دلار می‌شود.
FTC می‌گوید که صاحبان آسیب‌دیده‌ی مسیریاب‌های ایسوس تا ۲۴ ماه مارس فرصت دارند تا نظرات عمومی خود را در مورد توافق‌نامه‌ی پیشنهادی قبل از این‌که این توافق‌نامه اجرایی شود، اعلام کنند.
نیتان ساناپا، وکیل مدافع ارشد بخش حریم خصوصی و حفاظت از هویت FTC در مصاحبه‌ای با Threatpost می‌گوید: «با این مقدار از دستگاه‌هایی که به شبکه‌ی خانگی متصل هستند، مسیریاب‌ها اولین خط دفاعی در برابر مهاجمان هستند.»
ساناپا می‌گوید که خطاهای امنیتی ایسوس موجب آسیب‌های واقعی به مصرف‌کنندگان این مسیریاب‌ها می‌شود که از قرار گرفتن در معرض افشای پرونده‌‌های حساس گرفته تا سرقت هویت آن‌ها در اینترنت را شامل می‌شود. در موارد متعددی، پرونده‌‌های شخصی مصرف‌کنندگان که با استفاده از قابلیت Asus’s AiDisk FTP ذخیره شده بود، به وسیله‌ی موتورهای جست‌وجو نمایه‌سازی شده و در دسترس همه قرار گرفتند. دست کم در یک مورد، یکی از مشتریان گزارش داد که در معرض سرقت اطلاعات هویتی قرار گرفته است، چرا که اظهارنامه‌ی مالیاتی و دیگر داده‌های مالی او در دستگاه ذخیره‌سازی وی سرقت شده است.

شرح این ناکامی امنیتی
بر اساس دادخواهی اصلی FTC در سال ۲۰۱۴، ایسوس در چندین سطح نتوانسته است از مشتریان خود محافظت کند. در درجه‌ی اول حفاظت از گذرواژه‌ی ایسوس به راحتی قابل دور زدن بوده است که منجر به گزارشاتی در مورد درخواست‌های جعلی تزریق کد یا آسیب‌پذیری‌های تزریق کد می‌شده است.
در آن زمان، برخی از مصرف‌کنندگان ایسوس شکایت داشته‌اند که مهاجمان تنظیمات امنیتی مسیریاب‌های آن‌ها را تغییر داده‌اند و تنظیمات نام دامنه‌ی کارگزار مسیریاب‌ها را دست‌کاری کرده‌اند، به طوری که ترافیک اینترنت می‌توانسته است به وب‌گاه‌‌های مخرب دارای بدافزار هدایت شود.
یک ویژگی به نام AiCloud و AiDisk به شما اجازه می‌دهد تا بتوانید یک دستگاه ذخیره‌سازی را به مسیریاب‌های ایسوس متصل کنید. ایسوس در تبلیغات خود این ویژگی را به عنوان فضای ابری شخصی و خصوصی برای به اشتراک‌گذاری پرونده‌‌های انتخابی و راهی برای دسترسی به داده‌های ارزشمند خود با خیال راحت از طریق مسیریاب‌ معرفی کرده است. با این حال FTC می‌گوید که به دلیل این‌که پیاده‌سازی خدمات FTP ناامن بوده است و داده‌هایی را که به شبکه فرستاده می‌شده‌اند رمزگذاری نمی‌کرده است، به مهاجمان اجازه می‌داده تا دسترسی غیرمجاز به مسیریاب‌های ۱۲۹۰۰ نفر از مصرف‌کنندگان ایسوس پیدا کنند.
مشکل دیگری که از نظر FTC مسأله‌ساز بوده است، این واقعیت است که هنگامی که مشتریان تلاش می‌کرده‌اند تا به‌روزرسانی‌های سفت‌افزاری را برای مسیریاب‌های ایسوس بارگیری کنند، نرم‌افزار به اشتباه نشان می‌داده است که سفت‌افزار دستگاه به‌روز است، در حالی‌که که به‌روزرسانی‌ها برای دستگاه موجود بوده است.
نشانه‌های مشکل برای صاحبان دستگاه‌های مسیریاب‌ ایسوس در سال ۲۰۱۳ ظاهر شدند، در آن زمان محقق امنیتی کیل لاوت یک گزارش تهدید را ارسال کرد و گفت که مسیریاب‌های ایسوس برای حمله‌ی مهاجمان از راه دور باز هستند زیرا آسیب‌پذیری‌ها در خدمات AiCloud در سخت‌افزار قرار دارند. کمی بعد از آن مسائل برای ایسوس رو به وخامت گذاشت. در فوریه‌ی سال ۲۰۱۴، یک مهاجم نامعلوم یک پرونده‌ی متنی را در مسیریاب‌های ایسوس قرار داد که در قسمتی از آن این عبارت قرار داشت: «مسیریاب‌ ایسوس شما (و اسناد موجود در آن) می‌تواند به وسیله‌ی همه‌ی کسانی که در اینترنت حضور دارند در دسترس قرار گیرد.»
ایسوس به درخواست‌هایی که برای نظر دادن در مورد این گزارش از او شده است، پاسخی نداده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.